Сегодня ночью был взломан официальный сайт популярного мессенджера мговенных сообщений qip.ru.
На главной странице сайта были опубликованы нецензурные выражения в адрес админов портала. Возможно также был подменен дистрибутив QIP IM клиента.
На сайте были выложены пароли к административному интерфейсу портала, в связи с чем главная страница на некоторое время была превращена в чат, в котором любой зашедший пользователь мог добавить произвольное сообщение.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
"..."Топовые" программные продукты, распространяемые на бесплатной основе, зачастую пользуются такой популярностью, что пользователи доверяют их авторам всецело, совершенно забывая о собственной безопасности. Чтобы разрушить весьма распространенный миф о том, что "популярно - значит надежно", мы займемся исследованием раскрученного на территории СНГ интернет-пейджера QIP.
Пробиваем "непробиваемую" броню
В одном из выпусков рубрики "Easyhack" я рассказывал, как модифицировать QIP так, чтобы он выдавал введенный пароль при помощи использования MessageBoxA. Естественно, я не стал раскрывать все карты сразу и описывать обход защитных механизмов – исключительно для того, чтобы разработчики залатали дыры, а хакеры не использовали информацию в корыстных целях, для создания "нового релиза" QIP с функцией воровства аккаунтов.
Прошло достаточно времени, и я решил углубиться в увлекательную исследовательскую работу. Вместе с тобой мы попробуем пропатчить qip.exe таким образом, чтобы он записывал введенные пользователем пароли в файл..."
так поэтому и говорят, что софт надо качать с оф. сайтов, не пользоваться чужими сборками XP и т.д.
В принципе - в любую программу можно встроить любой механизм.
Гораздо проще это сделать если есть исходники. Взял исходники миранды, настроил отправку логов по фильтрам слов и рекламируй как самую удобную сборку
так поэтому и говорят, что софт надо качать с оф. сайтов
Что и делали сегодня ночью многие пользователи. Как знать, какая версия была в тот момент доступна... Хотя, скорей всего, не патчили. В этом случае пароли бы стал выкладывать только дурак. Ведь чем незаметнее - тем дольше оставалась бы модифицированная версия в свободном доступе.
Frolovo MegaTown. Why Mega? I am living in Frolovo
Сообщений
252
Вес репутации
178
На сервере Jabber.ru есть конференция в которой высказывалось недовольство Infium'ом и его пользователями, а также высказывались намерения уничтожить Qip.ru.
Chatconference.jabber.ru
Добавлено через 13 минут
Damien, а откуда у Вас сведения о подробностях?
Очень странно это всё....
Но вполне понимаемо. Передайте своим друзьям, что вне зависимости от того, куда и как Вы спрячетесь за Вами всё равно придут. Рано или поздно.
Добавлено через 43 минуты
Внимание всем!
Текущий дистрибутив Инфиума скачан и будет отправлен на исследование. Результаты будут выложены здесь же!
Последний раз редактировалось Shark; 08.05.2009 в 16:35.
Причина: Добавлено
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
Frolovo MegaTown. Why Mega? I am living in Frolovo
Сообщений
252
Вес репутации
178
Взлом QIP.ru : итоги независимого расследования. Ответы на вопросы.
В связи с опубликованием новости о взломе сайта мессенджера QIP.ru мной было проведено небольшое расследование.
Убедительная просьба ко всем читающим школьникам: не нужно спекулировать на чужой беде и рекламировать Миранду. Это наносит вред самой Миранде и приводит к многочисленным конфликтам!
Просто нужно уяснить раз и навсегда: труд одного человека стоит труда тысячи человек! И человек, способный на это в одиночку, стоит тысячи людей!
[Пользуясь случаем,хочу принести публичные извинения группе разработчиков проекта Miranda IM и извиниться перед Вами за причинённые Вам неудобства.]
Сообщение от anton_dr
Что и делали сегодня ночью многие пользователи. Как знать, какая версия была в тот момент доступна...
Была доступна оригинальная версия QIP Infum 9030.
Двухсторонняя, неразрушающая проверка файла показала, что целостность Архива QIP Infium 9030 сохранена.
Ответ Инфа:
Доступа к download.qip.ru из http://www.qip.ru нет, поэтому никто и не сможет заменить дистрибутивы из CMS.
Вы можете проверить Правоту этих слов при помощи контроля MD5 (требуемый файл прикреплён как вложение в этом посте.)
С 8:00 MCK по настоящее время все сервисы , предоставляемые qip.ru через Клиент QIP Infium, функционируют в полном объёме.
Подозрительных манипуляций с Аккаунтом @qip.ru и другими аккаунтами замечено не было.
Сообщение от anton_dr
Хотя, скорей всего, не патчили. В этом случае пароли бы стал выкладывать только дурак. Ведь чем незаметнее - тем дольше оставалась бы модифицированная версия в свободном доступе.
Судя по результатам проверки действовал дилетант. По сведениям из осведомлённых источников пострадал только Форум.
>Уважаемый Inf скажите пожалуста почему лежит форум квип, это как-то связано с
>ночным происшествием?
Форум пока отключен, потому что пароль одного из админов был также сохранен в этой злосчастной админке новостей и в него успели запустить свои ручки горе-хацкеры. Его надо приводить в порядок, но у всех сейчас выходной, так что возможно его начнут приводить в порядок после 11 числа. Ссылка на оригинал
Сомневаюсь скорее всего целью был просто дефейс, потому что доступ к админке был получен.
А так же взломан блог одного из администраторов: Картинка
По сведениям пароль являлся номером сотового телефона администратора.
Кстати после данного случая на сайте плати.ру в продаже появилась база данных пользователей qip.ru - http://www.plati.ru/asp/pay.asp?idd=776222
(на данный момент он удалён, но как видно из заголовка товар существовал. И на момент моего посещения было 2-ое покупателей).
Однако есть подозрения что это был просто фейк и база не утекла (да насколько мне известно пароли находятся на другом сервере (storage.qip.ru), поэтому скорее всего пароли не были "украдены"). Это подтвержает и сам администратор (он же INF):
>Вопрос №1: утекла ли база паролей пользователей QIP Infium?
Нет, админка CMS сделана для управления новостями, страницами, пользователями (которые пишут новости, модерят странички), которые в ней созданы. Это локальная система управления сайтом, которая не выходит дальше http://www.qip.ru. Учетные записи джаббера и прочие сервисы никак не связаны с CMS http://www.qip.ru.
Frolovo MegaTown. Why Mega? I am living in Frolovo
Сообщений
252
Вес репутации
178
Для людей, которые будут юзать QIP - Infium с полным набором: SIPNet, Jabber, GTalk и прочих Сервисов!
Добавлено через 6 минут
Однако есть подозрения что это был просто фейк и база не утекла (да насколько мне известно пароли находятся на другом сервере (storage.qip.ru), поэтому скорее всего пароли не были "украдены")
Подтверждаю. Все сервисы клиента Фукнционируют в обычном режиме.
Последний раз редактировалось Shark; 09.05.2009 в 02:15.
Причина: Добавлено
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
это нечто, вас поимели на весь рунет, а это оказываеться был дилетант. В таком случае вам очень повезло, что это был не профессионал, страшно подумать что бы он мог натворить. Да и безопастность вашего сайта не внушает доверия, тем более что инфиум по умолчанию хранит пароли на своем сервере, завтра к примеру и его похакают, опять скажете пработал дилетант? В любом случае квипом не пользуюсь и другим не советую.
И почему вы так резко на критику реагируете? Сразу обзываться, конструктивно тяжело ответить? Вы случайно не один из админов форума qip? Они точно также реагируют.
За сим откланяюсь.
Frolovo MegaTown. Why Mega? I am living in Frolovo
Сообщений
252
Вес репутации
178
Я случайно просто Пользователь. А Вы случайно не Миранду юзаете?
Читать надо, о чём Вам пишут. Я тоже не прочь откланяться.
Добавлено через 7 минут
VirCode, скажем так: дефейс давно баян. Детская забавка для зудящих прыщей. А если протрояненный дистриб подкинули - это уже серъёзно. Речь шла именно об этом.
Последний раз редактировалось Shark; 08.05.2009 в 22:57.
Причина: Добавлено
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
Frolovo MegaTown. Why Mega? I am living in Frolovo
Сообщений
252
Вес репутации
178
Добавлено через 4 часа 56 минут
Сообщение от petyanamlt
Не правда, форум до сих пор не работает. 21:45
Asus пишет:
>Уважаемый Inf скажите пожалуста почему лежит форум квип, это как-то связано с
>ночным происшествием?
Форум пока отключен, потому что пароль одного из админов был также сохранен в этой злосчастной админке новостей и в него успели запустить свои ручки горе-хацкеры. Его надо приводить в порядок, но у всех сейчас выходной, так что возможно его начнут приводить в порядок после 11 числа. Ссылка на оригинал
Убедительная просьба ко всем читающим школьникам: не нужно спекулировать на чужой беде и рекламировать Миранду. Это наносит вред самой Миранде и приводит к многочисленным конфликтам!
Просто нужно уяснить раз и навсегда: труд одного человека стоит труда тысячи человек! И человек, способный на это в одиночку, стоит тысячи людей!
Последний раз редактировалось Shark; 09.05.2009 в 17:33.
Причина: Добавлено
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!